Quantenresistente Kryptografie

Der technische Fortschritt bei Quantencomputern ist gleichzeitig eine Herausforderung in Sachen Security. Spätestens in zehn Jahren ist heutige High-Security-Technik obsolet, weiß Michael Osborne, Forschungsleiter Security im IBM Forschungszentrum Zürich. [...]

Die Fortschritte in den letzten fünf Jahren im Bereich Quantencomputer waren enorm und reichen bereits weit über die Grundlagenforschung hinaus, beschreibt Michael Osborne den gegenwärtigen Stand der Technik, den er als »quantum-ready« beschreibt. In dieser Phase versuche man Probleme zu lösen, »die mit herkömmlicher Technik nicht zu lösen sind«. Das Ziel sei Anwendungsfälle zu finden, wo Quantencomputer ihr volles Potenzial – von Osborne als »Quantum-Adavantage« bezeichnet – im Geschäftsbereich und der Wissenschaft ausspielen können. Derzeit beobachtet Osborne einen weltweiten Wettlauf hin zum leistungsfähigsten und praktisch einsetzbaren Quantencomputer. Dabei werden unterschiedliche Wege verfolgt.

IBM hat bereits einen Quantencomputer mit 50 Qubit. Auch China arbeitet fieberhaft an der Weiterentwicklung dieser leistungsfähigen Rechner. Wieviel das Land insgesamt in die Quantencomputerforschung investiere, sei unbekannt, so der IBM-Wissenschaftler. Fakt ist, dass China für 10 Milliarden US-Dollar die weltgrößte Quantencomputer-Forschungsstätte in Hefei baut und immer wieder mit Rekorden, z.B. in der Quantenverschränkung, aufhorchen lässt. Weitere Unternehmen, die Quantenrechner entwickeln, sind Intel, Google, Rigetti, USTC (China) sowie Universitäten und Forschungseinrichtungen wie z. B. Harvard oder das MIT.
Grundsätzlich geht es darum, die Anzahl der Qubits zu steigern. Dabei gilt, dass die Performance exponentiell steigt, das heißt ein Quantencomputer mit nur einem Qubit mehr verfügt über die doppelte Geschwindigkeit. Bei herkömmlichen Computern verdoppelt sich die Leistung mit der doppelten Anzahl der Transistoren. Michael Osborne verdeutlicht: »Das bedeutet, dass Quantencomputer Aufgaben, für die ein herkömmlicher Computer tausende von Jahren benötigt, in einem Bruchteil einer Sekunde lösen kann.« Immerhin stellt IBM Quantencomputer mit 5 und 16 Qubits via Cloud der öffentlichen Forschung zur Verfügung, was für Osborne eine Demokratisierung der Quantentechnik darstellt. Hätten früher nur Staaten Zugriff auf solche Technologien gehabt, sei dies mittlerweile jedem via Internet möglich.

Sicherheit im Zeitalter der Quantenrechner

Bei den heute zum Einsatz kommenden Verschlüsselungsvefahren kann man zwischen asymmetrischen und symmetrischen Kryptosystemen unterscheiden. Zu den asymmetrischen Verschlüsselungsverfahren zählen die Public-Key-Authentifizierungen oder digitalen Signaturen. Hierbei kommen zwei unterschiedliche Schlüssel zum Einsatz – ein privater und ein öffentlicher – die sich gegenseitig ergänzen. Der öffentliche Schlüssel ist jedem zugänglich, der private Schlüssel muss geheim gehalten und aus dem öffentlichen Schlüssel nicht berechenbar sein.
Bei einem symmetrischen Verschlüsselungsverfahren sind beide Schlüssel identisch (bzw. falls doch nicht, können sie leicht auseinander berechnet werden). Bei symmetrischen Verfahren müssen die Schlüssel über einen sicheren und manipulationsgeschützten Kanal ausgetauscht werden, was bei asymmetrischen Verfahren entfällt, da der öffentliche Schlüssel ja nicht geheim ist.

Wichtig ist, dass der öffentliche Schlüssel dem Inhaber des privaten Schlüssels ohne Zweifel zugeordnet werden kann.
Für die Verschlüsselung werden verschiedene mathematische Verfahren verwendet, insbesondere das Faktorisierungsverfahren ist hier zu nennen. Während sich herkömmliche Rechner hier sehr schwer tun, fällt Quantencomputern der Umgang mit der Faktorisierung großer Zahlen leicht. Das Ergebnis sind exponentielle Geschwindigkeitszuwächse im Vergleich zu herkömmlichen Rechnern.
Gegenwärtig reagiert man auf immer schnellere Rechner mit immer längeren Schlüsseln, weiß Osborne: »Für eine Schlüssellänge von 1.000 Bit braucht man heute eine Million Jahre, um den Schlüssel zu knacken. RSA-Schlüssel verwenden heute bereits eine Länge von 2.000 Bits. Mit heutigen Computern ist es fast unmöglich, so einen Schlüssel zu knacken. Mit Quantencomputer braucht man jedoch statt einer Million Jahre nur ein Jahr!« Das bedeute, so Osborne, dass unsere Verschlüsselungen ein Ablaufdatum haben und beizeiten ersetzt werden müssen. Insbesondere zwei Algorithmen bereiten dem Experten Sorge: es sind dies der Shor-Algorithmus zur Faktorisierung großer Zahlen und der Grover-Algorithmus, ein extrem effizienter Suchalgorithmus. Insbesondere die asymmetrischen Verfahren (Shor-Algorithmus) halten einem Brute-force-Angriff von Quantencomputern nicht mehr stand. Dazu zählen Verschlüsselungsverfahren wie RSA, ECC und ElGamal.

Bei den symmetrischen Verfahren (Grover Algorithmus) sinkt die Zeit, die ein Brute-Force-Angriff benötig um die Verschlüsselung zu knacken, auf etwa die Hälfte (siehe Grafik auf dieser Seite). Hierzu zählt z. B. die AES-Kryptografie. Osbornes Fazit: »Wir müssen alle Public Keys beizeiten ersetzen und ab sofort nur mehr Verschlüsselungsverfahren verwenden, die resistent gegenüber Quantencomputer sind.«
Das ist insofern wichtig, da die Verschlüsselung von Bitcoin und der Blockchain-Technologie nicht »quantenresistent« ist. Zumal die kleineren ECC-Schlüssel, auf die Bitcoin setzt, noch schneller von Quantencomputern geknackt werden können als die älteren, aber längeren RSA-Schlüssel.

Wie lange reicht der Schutz?

Wie bereits erwähnt, hängt die Quantenresistenz von Faktoren wie Schlüssellänge und eingesetztem Kryptografieverfahren ab. Osborne schätzt, dass bereits in zehn Jahren die ersten Algorithmen geknackt werden können. In dieser Zeit müssen wir quantenresistente Kryptografieverfahren standardisieren und ausliefern. »Das ist nicht viel Zeit um Kryptografieverfahren zu ersetzen«, warnt Osborne. Doch es gibt bereits seit etwa 20 Jahren eine quantenresistente sogenannte Post Quantum Cryptography (PQC). IBM setzt dabei auf Lattice-based Kryptografie, da andere Verfahren langsamer oder nur für spezielle Anwendungen geeignet seien, so Osborne.
Vielen Firmen sei diese künftige Sicherheitsbedrohung und, dass sie Maßnahmen dagegen setzen müssen, noch nicht bewusst. »Wir müssen krypto-agiler werden, fordert Osborne. Zwanzig Jahre für das Austauschen von Verschlüsselungsverfahren sei einfach zu lang, wünschenswert wäre eine Zeit von maximal zwei bis drei Jahren. Seit etwa drei Jahren arbeitet auch das National Institute of Standards & Technology (NIST) an der Standardisierung von PQC-Verfahren, die jedoch erst 2023 abgeschlossen sein wird. Zwar unterstützt IBM die Standardisierung, baut aber, da die Zeit drängt, schon jetzt Quantum-Safe-Kryptografiemethoden in eigene Lösungen ein, schlägt Osborne die Brücke von der Forschung zur Anwendung.